A mai napon a lengyel központi CERT (CERT Polska) publikálta a december 29-i támadások részletes beszámolóját. Bár a héten már nem terveztem több, soron kívüli posztot, de ez a jelentés annyival részletesebbnek és pontosabbnak tűnik, mint bármelyik korábbi (akár hivatkoztam a korábbi posztokban, akár nem), hogy nem engedhettem meg magamnak, hogy ne olvassam át és ha már elolvastam, ne írjak róla. A konkrét jelentés itt érhető el.
Amit korábban is lehetett már olvasni, legalább 30 nap- és szélerőmű volt érintett a támadásban. Szintén lehetett tudni, hogy legalább egy CHP (Combined Heat and Power) hőerőművet is támadás ért. Viszont arról most először van információ, hogy egy gyártócég automatizálási rendszerei is érintettek voltak.
Szintén volt információ arról, hogy a támadók a megújuló erőművek site-jai és a DSO control center közötti kommunikációt támadták. A wiper malware-ek emlegetése a korábbi cikkekben adott arra vonatkozóan sejtetést, hogy a támadók a kommunikáció megzavarásán túl is szereztek hozzáféréseket a megtámadott rendszerekben, de a CERT Polska elemzése minden korábbinál sokkal részletesebb.
Az elemzés szerint a támadás NEM a megújuló erőművek rendszereit érte, hanem az elosztói rendszerirányító alállomásán (Grid Connection Point, GCP) működő berendezéseket - ez új információ, eddig mindenhol arról lehetett olvasni, hogy az erőművek rendszerei voltak a támadás célpontjai!
Minden megtámadott GCP-ben egy adott gyártó (Fortinet) adott terméke (FortiGate tűzfal) volt az első behatolási pont. A leírás szerint a FortiGate tűzfalak egyszerre szolgáltak tűzfalként és VPN-koncentrátorként, utóbbi szerepkörükben Internet irányból elérhető volt az authentikációt biztosító funkciójuk (multi-faktor authentikációval megerősítve). Eddig a CERT Polska elemzésből származó megállapítások. Azt már én teszem hozzá, hogy ez a konfiguráció teljesen normális és megfelel a (gyártófüggetlen) biztonsági ajánlásoknak. Azonban az is tény, hogy alig több, mint egy hete jelent meg egy hír pont az érintett gyártó tűzfalainak felhős menedzsment megoldásával kapcsolatban, amiben egy teljesen naprakészre frissített FortiGate tűzfalakat is támadhatóvá tevő sérülékenységről írtak (ezzel nem azt mondom, hogy ugyanez ne történhetett volna meg bármelyik másik gyártó tűzfalainak alkalmazása esetén - sajnos tudomásul kell vennünk, hogy az állami hátterű APT-csoportok gyakorlatilag bármelyik gyártó bármilyen eszközében rendelkezhetnek olyan 0-day sérülékenységi információval, amiről rajtuk kívül senki sem tud, márpedig ha valamikor érdemes lehet ilyen sérülékenységeket egy támadáshoz kihasználni, az pont az ilyen, nagyon nagy értékű - kritikus infrastruktúrákhoz tartozó - célpontok elleni támadások).
A kérdés minden külső határvédelmi rendszer sérülékenysége esetén az hogy a) mikor biztosít javítást a sérülékenységhez a gyártó és b) a publikálás után mennyi idővel telepíti a javítást az üzemeltető? (Ma már gyakorlatilag legkésőbb a javítás publikálása után néhány órával aktív támadási kísérletek indulnak a feltételezhetően sérülékeny és publikus hálózatokon elérhető rendszerek ellen, így a javításra rendelkezésre álló időablak egyre kisebb. Nem gondolom, hogy tovább kéne bizonygatnom, hogy ez a kritikus infrastruktúrák esetén mennyivel növeli a kockázatokat.
Ráadásul a támadók a kompromittált rendszerekben adminisztratív jogokat szereztek (ez szintén azt a teóriámat erősíti, hogy reaális esélye van annak, hogy a fenti cikkben linkelt sérülékenységet használhatták ki).
Arról a jelentés nem tesz említést, hogy a támadók mennyi ideig rendelkeztek az így szerzett hozzáférésekkel a megtámadott létesítmények rendszereiben.
A támadók a támadás napján (december 29-én) minden érintett eszközt gyári alapállapotban állították, amivel minden bizonnyal a normál működés helyreállítási idejének növelése volt a céljuk.
A támadók azonban nem álltak meg a kommunikáció szempontjából központi szerepet betöltő tűzfalaknál, hanem az alállomások és az erőművek közötti kommunikációban még fontosabb szekunder(????) berendezéseket is célba vették. Hitachi (korábban Hitachi-ABB, aztán a japán cég teljesen kivásárolta a svájciakat a közös vállalatból) és Mikronika RTU-k, Hitachi védelmek és vezérlések, Mikronika HMI-ok és Moxa soros-Ethernet átalakítók szintén a támadások áldozataivá váltak. Ezekben az esetekben a lengyel kollégák már korántsem voltak annyira precízek, mint a tűzfalak esetén, szinte az összes szekunder berendezés-típusnál megemlíti a jelentés, hogy gyári alapértelmezett jelszavakat felhasználva szereztek hozzáférést a támadók - ez pedig egy eléggé alapvető hiba, amit 2025-ben már nagyon nem lett volna szabad elkövetni (ennek ellenére ne legyenek illúzióink, okkal gyaníthatjuk, hogy majd minden ipari folyamatirányító rendszerben van legalább 1 olyan berendezés, amin nem módosították a gyári jelszót egy adminisztrátori szintű jogosultsággal rendelkező fiókhoz - ezek a jelszavak pedig publikusan elérhetőek a gyártók weboldaláról letölthető kézikönyvekben...).
A CHP elleni támadás a jelentés alapján más volt. Hosszú ideig tartó művelet (bár egyelőre nincs bizonyíték arra, hogy a 2025 márciusa és júliusa közötti gyanús események közvetlenül a decemberi támadást elkövető APT csoporthoz köthetőek, kizárni sem lehet ezt) során szerezhettek bizalmas információkat az erőmű működéséről és ezek között voltak olyanok is, amikkel emelt szintű jogosultsághoz jutottak az erőmű Active Directory címtárában. Ezekkel a jogokkal aztán csoportházirendeken keresztül indították el a wiper malware-t, amit azonban az erőművi rendszerekben működő Endpoint Detection and Response rendszer képes volt észlelni és blokkolni (a blokkolás kérdése érdekes, mert tapasztalataim szerint az OT rendszerekben gyakran nem engedélyezik a biztonsági rendszer aktív beavatkozását, bár láttam már ennek az ellenkezőjére is példát).
Ebben a támadásban is egy FortiGate tűzfal volt az első kompromittált rendszer, majd innen egy Windows jump hoston keresztül fértek hozzá a támadók további rendszerekhez (köztük a tartományvezérlőkhöz).
Támadás a gyártóvállalat ellen
Ennél a szervezetnél a CERT Polska jelentése nem lát kapcsolatot az erőművi és alállomási rendszerek elleni támadással, azonban a támadás jellemzői és időzítése a valószínűbbnél erősebben sugallják, hogy ugyanaz a támadói csoport lehet a felelős ezért az incidensért is.
A támadók ebben az esetben is a FortiGate külső határvédelmi eszközön keresztül jutottak be a célpont hálózatába, ráadásul ez a tűzfal érintett volt korábbi incidensben, az akkori konfigurációját publikálták is! A megszerzett, adminisztrátori szintű hozzáférés után SSL-VPN kapcsolaton keresztül mozogtak tovább a támadók a megtámadott rendszerben. Ebben az esetben is sikerült a támadóknak tartományi rendszergazda jogosultsági szintet szerezniük a megtámadott szervezet rendszereiben és itt is ezt felhasználva, csoportházirendekkel terítették a wiper malware-jüket (LazyWiper, amit egy külön fejezetben elemez a jelentés).
A tartományi rendszergazdai jogosultságok megszerzése sokkal komolyabb jövőbeli fenyegetéseket jelent a most érintett szervezetekre nézve, mint csupán a wiper malware-ek terítése. A jelentés szerint a támadók a megszerzett jogosultságok birtokában számos, OT hálózati fejlesztésekkel, SCADA rendszerekkel és más műszaki részletekkel kapcsolatos dokumentumokat töltöttek le a megtámadott szervezetek M365 fiókjaiból. Ez szerintem nem csak az érintett szervezetek jövőbeli kockázatait emeli meg jelentősen, hanem elég jó képet fest a támadók számára arról is, hogy az ezeket a dokumentumokat létrehozó vagy azokban közreműködő ICS/OT gyártó vagy integrátor cégek nagy valószínűséggel milyen gyakorlatok mentén tervezik más ügyfeleik rendszereit is!
Ami viszont érdekes, hogy az eddigi forrásokkal (amik miatt eddig én is így tettem) ellentétben a CERT Polska jelentésében, az Atribution fejezetben NEM a Sandworm APT csoportot (amivel kapcsolatban kb. közmegegyezés van, hogy a GRU, az orosz katonai hírszerzéshez köthető csoport) jelölik meg, hanem a Dragonfly néven azonosított, feltételezések szerint az orosz FSZB-hez (az orosz polgári hírszerzéshez) köthető APT-csoportot.
Ez a jelentés sok részletet tisztábban mutat, mint eddig bármi és nagyon jól rávilágít több régóta hangoztatott alapigazságra:
1. Minden szoftver sérülékeny, ezért azt kell feltételeznünk a biztonság tervezése során, hogy a támadók meg fognak találni már ismert és nem javított, vagy még nem ismert (0-day) és így nem is javítható sérülékenységeket a rendszereinkben.
2. Mindig (nem tudom eléggé hangsúlyozni, MINDIG) meg kell változtatni a gyári, alapértelmezett jelszavakat. Nyilván ez sem állít meg egy képzett és elhivatott támadót, de minden kicsi előnyre szükség van a védekezés során, a kritikus infrastruktúrák esetén ez fokozottan igaz.
3. A mélységi védelem (defense-in-depth) képes javítani a védelem esélyeit még egy top ligás támadói csoport ellen is. Az, hogy a CHP elleni támadás esetén az EDR rendszer képes volt detektálni és blokkolni a wiper malware-t, arra bizonyíték, hogy bár igaz a kb. másfél évtizede már magyar IT biztonsági konferenciákon is bizonyított feltevés (azt hiszem, talán Buherátortól láttam ilyen előadást, amiben azt mutatta meg, milyen könnyen lehet úgy obfuscálni egy Virustotal-on kezdetben majd 100%-ban detektált malware-t úgy, hogy a végén kb. 40 AV engine-ből alig 1-2 ismerte fel, mit is lát), mégis van kézzelfogható haszna egy (természetesen az OT gyártó/integrátor által támogatott) végpontvédelmi megoldást telepíteni.